中国行为法学会网络与数据法学研究部、中国通信学会网络空间安全战略与法律专业委员会、网络空间治理与数字经济法治(长三角)研究基地、浙江大学网络空间国际治理研究基地发起,联合中国政法大学数据法治研究院、北京邮电大学互联网治理与法律研究中心、南京邮电大学信息产业发展战略研究院、重庆邮电大学网络空间安全与信息法学院、华东政法大学数字法治研究院、浙江大学国际战略与法律研究院、深圳大学创新发展法治研究院、上海市法学会互联网司法研究会、深圳数据交易所等知名高等院校、研究机构和数据交易所,通过对2024年度中国网络与数据法治领域具有代表性、典型性、开创性和全局性的重要事件进行跟踪、研究与综合评估,发布“2024年中国网络与数据法治领域十大事件”。
一、国家网信办发布《中国网络法治三十年》
2024年是习近平总书记提出网络强国战略目标10周年,是中国全功能接入国际互联网30周年,也是中国网络法治建设起步30周年。国家网信办牵头专门组织力量编撰了《中国网络法治三十年》,全面展现了中国网络法治建设成就,总结了中国网络法治建设经验,同时展望了中国网络法治的未来和前景。
1994年的一根网线,让中国连通了世界,开启了中国的互联网时代,也拉开了中国网络法治建设的序幕。30年来,在推进互联网发展的同时,我国高度重视网络法治建设,不断探索符合我国互联网发展特点的依法治网之路。网络法治建设经历了1994—1999年的起步阶段、2000—2011年的加快推进阶段和2012年以来的高质量发展阶段三个阶段。特别是党的十八大以来,不断探索将依法治网纳入全面依法治国工作布局和网络强国建设全局,深化网络法治建设的理念认识,网络法治建设成就显著。
目前,我国制定出台了网络领域立法150多部,形成了以宪法为根本,以法律法规为依托,以传统立法为基础,以网络专门立法为主干的网络法律体系,搭建了我国网络法治的“四梁八柱”,特别是制定了《中华人民共和国网络安全法》、《中华人民共和国电子商务法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等基础性法律法规,为构建网络强国和营造良好数字社会生态提供了坚实的基础法治保障和基本依循。
二、国务院公布《网络数据安全管理条例》
2024年9月30 日,《网络数据安全管理条例》(以下简称《条例》)全文正式公布,于2025年1月1日起施行。《条例》是《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》最重要的配套规定,是我国网络数据安全领域首个行政法规。自《条例》由国家互联网信息办公室于2021年11月发布征求意见稿以来,已经连续三年写入国务院立法工作计划。国家互联网信息办公室在总结近年来网络数据安全管理实践经验、征求有关方面意见并在向社会公开征求意见的基础上,向国务院报送了《条例(草案送审稿)》,司法部在立法审查中,广泛征求有关中央单位、地方人民政府、企事业单位、行业协会和专家学者意见,赴地方开展实地调研,多次召开企业和行业协会座谈会听取意见,会同国家互联网信息办公室反复研究修改,形成了《条例(草案)》。
《条例》坚持总体国家安全观,统筹发展和安全,既加强网络数据安全保护,又鼓励和促进网络数据依法合理有效利用。《条例》坚持问题导向,重点聚焦个人信息、重要数据、网络数据跨境流动等方面的突出问题,有针对性地健全制度措施。同时,《条例》妥善处理了与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等上位法的关系,对上位法的相关制度规定进行了细化、补充、完善。
《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。明确了网络数据处理者基于个人同意处理个人信息的应当遵守的七项规定。进一步明确了个人信息处理者的义务和责任,明确了行使个人信息查阅、复制、更正、补充、删除等权利的基本要求,细化个人信息转移的具体条件,强调了网络数据处理者处理1000万人以上个人信息还应当履行的义务等。
为有效维护国家数据安全,我国对重要数据处理者提出了更高的要求。《条例》对重要数据的处理者的网络数据安全负责人和网络数据安全管理机构作出了明确的规定,首先,《条例》要求网络数据安全管理机构应当履行三项网络数据安全保护责任,一是制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;二是定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;三是受理并处理网络数据安全投诉、举报。其次,《条例》提出了网络数据安全负责人应当具备的基本条件,即应具备网络数据安全专业知识和相关管理工作经历,并由网络数据处理者管理层成员担任,同时其有权直接向有关主管部门报告网络数据安全情况。最后,《条例》规定,重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,并对风险评估应当重点聚焦的六项内容作出了明确要求。
《条例》首次明确了“重要数据”的内涵,提出了三个“特定”和一个“达到”,即“重要数据”是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
三、国家网信办公布《促进和规范数据跨境流动规定》
2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》,自公布之日起施行。当日,国家互联网信息办公室同时发布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》。
《促进和规范数据跨境流动规定》(以下简称《规定》)将“促进”置于“规范”之前,这个先后顺序的调整表明,我国数据跨境流动的政策和立法趋势是“促进”数据跨境流动,同时在流动中应不断加以规范。《规定》的出台对于促进数据的跨境流动和扩大我国高水平对外开放具有重要的意义。
《规定》针对影响数据跨境流动中存在的一些主要问题进行了规范:一是明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估;二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;三是设立自由贸易试验区负面清单制度,提出自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内负面清单;四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;五是延长数据出境安全评估结果有效期,增加了数据处理者可以申请延长评估结果有效期的规定等。
《规定》在个人信息出境免予申报数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证方面,与2022年9月1日起施行的《数据出境安全评估办法》、2023年6月1日起施行的《个人信息出境标准合同办法》相比较,不仅扩大了范围,而且明显放宽了出境的条件。《规定》明确提出,符合以下四种情形之一,只要不包括重要数据,均可以免予申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证:一是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的情形。二是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的情形,这里应当注意“依法制定的劳动规章制度和依法签订的集体合同”应当同时具备。三是在紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的情形,比如中国公民在境外旅游遭到恐怖袭击等。四是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的情形。
《规定》最突出的亮点是解决了重要数据出境安全评估申报的困惑,明确提出“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。
四、反不正当竞争法(修订草案)提请全国人大常委会审议
2024年12月,反不正当竞争法(修订草案)提请十四届全国人大常委会第十三次会议审议。修订草案统筹活力和秩序、效率和公平,推动有效市场和有为政府更好结合,合理明确经营者义务,为各类经营者公平参与市场竞争创造良好制度环境。现行反不正当竞争法于1993年公布施行,并于2017年、2019年两次修改,法律框架和主要制度总体可行。
当前,反不正当竞争法在实践中面临一些突出问题,特别是一些平台经营者利用数据、算法和平台规则等实施网络不正当竞争,迫切需要对反不正当竞争法进行有针对性的修改完善。平台经营者掌握了海量数据,连接大量主体,既是网络不正当竞争监管的重点对象,也是协同监管的关键节点。2024年5月,国家市场监督管理总局发布《网络反不正当竞争暂行规定》,2024年9月1日开始实施。《网络反不正当竞争暂行规定》突出强调了平台主体责任,督促平台企业对平台内竞争行为加强规范管理,同时对滥用数据算法获取竞争优势等问题进行规制。
《网络反不正当竞争暂行规定》的出台标志着我国在规范网络市场竞争、维护公平交易环境方面迈出了坚实的一步,也为修订和完善《中华人民共和国反不正当竞争法》有关网络市场反不正当竞争的规定奠定了基础。比如,《网络反不正当竞争暂行规定》明确了网络不正当竞争行为的认定标准和规制要求,特别是对网络环境下新型不正当竞争行为的界定和规制,为监管部门提供了明确的执法依据。同时,《网络反不正当竞争暂行规定》强化了平台责任,要求平台经营者加强对平台内竞争行为的规范管理,明确规定了刷单炒信、好评返现等影响用户选择行为的处罚措施等,维护了网络消费者的知情权、选择权和公平交易权。
五、中办国办印发《关于加快公共数据资源开发利用的意见》
2024年10月9日,经党中央、国务院同意,中共中央办公厅和国务院办公厅发布《关于加快公共数据资源开发利用的意见》(以下简称《意见》),明确提出,各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据,是国家重要的基础性战略资源。《意见》明确了公共数据资源开发利用的总体要求,确立了深化数据要素配置改革,扩大公共数据资源供给;加强资源管理,规范公共数据授权运营;鼓励应用创新,推动数据产业健康发展;统筹发展和安全,营造开发利用良好环境,以及强化组织实施等6个方面共17条内容,这是我国首次在中央层面对公共数据资源开发利用进行系统部署的纲领性文件。
《意见》提出了公共数据资源开发利用的“两步走”目标:第一步是到2025年,公共数据资源开发利用制度规则初步建立,资源供给规模和质量明显提升,数据产品和服务不断丰富,重点行业、地区公共数据资源开发利用取得明显成效,培育一批数据要素型企业,公共数据资源要素作用初步显现;第二步是到2030年,公共数据资源开发利用制度规则更加成熟,资源开发利用体系全面建成,数据流通使用合规高效,公共数据在赋能实体经济、扩大消费需求、拓展投资空间、提升治理能力中的要素作用得到充分发挥。
六、四部门重拳打击电信网络诈骗及其关联违法犯罪
近年来,电信网络诈骗作为非接触性犯罪,已成为数量上升最快的刑事案件类型。电信网络诈骗之所以能够实施并且多发,主要原因是此类非接触性犯罪的相关联违法犯罪给予了积极的配合与支撑。当前有一大批支撑电信网络诈骗违法犯罪活动的黑灰产从业者,这些黑灰产从业者通过出租出售电话卡和银行账户、贩卖个人信息、推广引流、程序开发、“跑分”洗钱等为电信网络诈骗违法犯罪活动提供帮助和支撑;诈骗犯罪团伙能够在黑灰市场上通过购买、租用、借用等方式源源不断获取第三人名下的电话卡、物联网卡、短信端口、银行账户、支付账户、互联网账号等作案工具。
2024年11月,公安部会同国家发展和改革委员会、工业和信息化部、中国人民银行联合发布《电信网络诈骗及其关联违法犯罪联合惩戒办法》(以下简称《办法》),2024年12月1日正式施行。《办法》主要是为打击治理电信网络诈骗及其关联违法犯罪建立健全的联合惩戒制度,共18条,主要包括惩戒原则、惩戒对象、惩戒措施、分级惩戒、惩戒程序、申诉核查等6个方面内容。
按照《办法》规定,具有下列四种行为之一的单位、个人和相关组织者,经设区的市级以上公安机关认定,将被认定为惩戒对象。
(1)非法买卖、出租、出借电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等三张(个)以上,或者为上述卡、账户、账号提供实名核验帮助三张(个)以上的;
(2)非法买卖、出租、出借电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等三次以上,或者为上述卡、账户、账号提供实名核验帮助三次以上的;
(3)向三个以上对象非法买卖、出租、出借电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等,或者提供实名核验帮助的;
(4)假冒他人身份或者虚构代理关系开立电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等的。
《办法》提出,具有前三种行为之一,即使未达到上述数量标准,但造成较大影响确有惩戒必要的,需要报经省级以上公安机关审核认定,也可以列为惩戒对象。
打击和治理电信网络诈骗犯罪是一个社会系统工程,建立健全联合惩戒制度,既要严厉惩治电信网络诈骗及其关联违法犯罪,又要保护公民的合法权益不受侵害,对于因惩戒认定错误给原被惩戒对象造成损害的,应当依法追究相关责任。
七、国务院审议通过《公共安全视频图像信息系统管理条例(草案)》
公共安全视频监控作为提升社会治理能力的重要工具,已成为维护国家安全的关键手段。然而,随着技术的进步和应用的扩大,公共安全视频监控系统的安全隐患日益凸显,随意收集使用视频图像信息问题突出,包括隐私泄露、网络攻击、数据滥用等问题。这些问题不仅对个人隐私构成威胁,更可能对国家安全造成严重影响,亟须通过专门立法予以规范。同时,各地也陆续出台一些专门立法,积累了有益立法实践经验,需要上升为国家立法,在全国范围内统一规范。
2024年12月,国务院总理李强主持召开国务院常务会议,会议审议通过了《公共安全视频图像信息系统管理条例(草案)》(以下简称《管理条例》),《管理条例》指出,要规范公共安全视频系统建设和使用,更好维护公共安全、保护个人隐私。早在2016年11月,公安部首次发布《公共安全视频图像信息系统管理条例(征求意见稿)》,时隔八年,我国陆续制定并施行了《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《网络数据安全管理条例》等法律法规,这些法律法规对公共安全视频图像提出了更高更细的要求。
2024年4月,公安部第二次就《公共场所视频图像信息系统管理条例(征求意见稿)》公开征求意见,内容做出了较大调整。但两次“征求意见稿”的名称有所不同,2016年“征求意见稿”使用了“公共安全”,2024年的“征求意见稿”则使用了“公共场所”,两字之差,“视频图像信息系统”使用的范围截然不同。2024年12月国务院常务会议通过的“草案”选用2016年的名称,即“公共安全视频图像信息系统管理条例”,“公共安全”相对于“公共场所”,“公共安全”的适用范围更广。《管理条例》坚持问题导向,兼顾维护公共安全和保护个人隐私、个人信息权益,以“小切口”立法形式,重点规范公共场所建设公共视频系统、采集视频图像信息的行为,进一步明晰各方责任,加强统筹管理、分类监管。
《管理条例》规定,公共视频系统收集的个人图像信息只能用于维护公共安全,并应当及时删除留存期满、实现处理目的的个人图像信息。国家机关因履行执法办案、处置突发事件等法定职责查看、调取视频图像信息的,应当依照法律、行政法规规定的权限和程序,并严格保密。《管理条例》明确规定,视频图像信息被依法用于公开传播时,应当对特定的人脸、机动车号牌等敏感个人信息采取严格保护性措施等。
八、国家网信办等四部门重拳治理网络平台算法滥用问题
数智时代,算法无处不在,它以一种我们难以想象的方式影响着我们的生活。从平台游戏类内容“专攻”未成年人,酒店预订价格差异巨大,养生类谣言专挑老年人推送,到平台对个人数据“野蛮挖掘”,用工方损害新就业形态劳动者合法权益等,这些现象的背后,大都是算法在作怪,加强对平台算法治理的呼声越来越高。
近年来,我国相继出台了算法治理的相关政策和法规,2021年9月《关于加强互联网信息服务算法综合治理的指导意见》出台,提出利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局;2022年3月1日正式施行《互联网信息服务算法推荐管理规定》,这是我国首次针对算法推荐服务制定专门的行政规章。
2024年11月,中央网信办、工信部、公安部、国家市场监督管理总局联合发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》(以下简称《通知》),《通知》主要针对网络平台算法滥用典型问题开展为期三个月的专项治理,重点开展6个方面的治理任务。一是整治“信息茧房”、诱导沉迷问题:构建防范机制,提升推送多样性,严禁推送同质化内容、违规收集信息等,规范负反馈功能;二是提升榜单透明度:公示热搜榜单算法原理,完善日志留存,健全违规行为监测机制,严管操纵榜单行为;三是防范侵害新就业形态劳动者权益:严防因压缩配送时间引发系列问题,公示相关算法规则,搭建申诉渠道;四是严禁大数据“杀熟”:禁止对相同商品差异化定价,提升优惠促销透明度,如实说明优惠券相关情况;五是增强算法向上向善服务:优化面向未成年人、老年人的服务,健全社会治理体系,提升生成合成信息检测能力;六是落实算法安全主体责任:健全审核、安全管理制度与技术措施,开展安全评估。
九、国家数据局等五个部门发布《关于促进企业数据资源开发利用的意见》
2024年12月25日,国家数据局联合中央网信办、工业和信息化部、公安部、国务院国资委正式印发《关于促进企业数据资源开发利用的意见》(以下简称《意见》)。《意见》明确提出,企业在生产经营过程中形成或合法获取、持有的数据,是企业发展的重要资源。
《意见》从健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境等5个方面提出了13项具体措施:一是在健全企业数据权益实现机制方面,提出完善企业数据权益形成机制、完善企业数据权益保护机制和健全企业数据收益分配机制;二是在培育企业数字化竞争力方面,要求提高数据治理能力和促进企业创新发展;三是在赋能产业转型升级方面,提出推进产业链协同创新、支持企业开放数据服务能力和助力中小企业用数创新;四是在服务经济社会高质量发展方面,强调激发数字经济发展新动能和促进社会治理和服务模式创新;五是在营造开放透明可预期的发展环境方面,明确了健全数据流通利用服务体系、扩大数据领域高水平开放和提升数据安全合规治理效能。
为保障相关举措更好落地实施,《意见》明确,加强人才培养,支持以产教融合、实训基地等方式,培养数据治理、数据分析、数据合规、数据标注、人工智能训练等方面的技术技能人才。与此同时,要充分发挥政府投资引导作用,推动重点领域数据资源开发利用、可信数据空间建设等。
十、国家金融监管总局制定发布《银行保险机构数据安全管理办法》
金融数据具有高价值和高敏感性,金融数据安全与国家安全和金融消费者权益密切相关。近年来,银行业保险业数字化变革加速演进,新技术、新业态不断涌现,数据合作共享日益频繁。与此同时,金融领域面临的数据安全风险形势复杂严峻,也给金融机构数据安全管理带来新的挑战。对此,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部机制,采取有效的管理和技术措施加强数据安全保护,确保客户信息和金融交易数据的安全性。
2024年3月至4月,国家金融监管总局就《银行保险机构数据安全管理办法(征求意见稿)》,面向社会公开征求意见。各方反馈的相关合理化意见建议均被采纳,未采纳意见主要集中在数据审计周期、监管报送时限等方面。2024年12月27日,国家金融监管总局正式公布《银行保险机构数据安全管理办法》(以下简称《管理办法》),自公布之日起施行。《管理办法》共9章81条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
《管理办法》主要特点包括:
一是落实数据安全责任制。明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任,机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人。
二是明确数据安全归口管理部门。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。
三是将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
四是强化数据安全评估。要求银行保险机构开展相关数据处理活动时,应事先开展安全评估。根据数据处理目的、性质和范围,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性。
五是建立数据安全保护基线。将数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,采用安全有效的传输方式保障数据完整性、保密性、可用性。
